Actualización de Chrome fortalece el control del usuario sobre extensiones

A partir de la versión 25 de Google Chrome, las extensiones de navegador instaladas fuera de línea por otras aplicaciones no se habilitarán hasta que los usuarios den su permiso a través de un cuadro de diálogo en la interfaz del navegador.

en el momento en que los desarrolladores tienen varias opciones para instalar extensiones sin conexión, sin utilizar la interfaz del navegador, en Google Chrome para Windows. Una de ellas consiste en agregar entradas especiales en el registro de Windows que indican a Chrome que se ha instalado una nueva extensión y que debe estar habilitada.

"Originalmente, esta función estaba destinada a permitir a los usuarios agregar una extensión útil a Chrome como una parte de la instalación de otra aplicación ", dijo el viernes en una publicación de blog Peter Ludwig, gerente de producto de Chrome Extensions de Google. "Desafortunadamente, esta característica ha sido ampliamente utilizada por terceros para instalar silenciosamente extensiones en Chrome sin el debido reconocimiento de los usuarios".

[Más información: cómo eliminar el malware de su PC con Windows]

Para evitar este tipo de abuso, comenzando con Chrome 25, el navegador deshabilitará automáticamente todas las extensiones "externas" instaladas previamente y presentará a los usuarios un cuadro de diálogo único para elegir cuáles desean volver a habilitar.

Además, todas las extensiones que se instalan usando los métodos fuera de línea se desactivarán de manera predeterminada y se le preguntará al usuario si desea habilitarlos cuando se reinicie el navegador.

Mozilla implementó un mecanismo similar hace un año en Firefox para evitar que las extensiones se instalen fuera de línea. por otros programas de ser habilitado sin la confirmación del usuario.

Preocupaciones de seguridad

Muchos ataques han usado extensiones maliciosas del navegador, incluidas las extensiones de Chrome. Por ejemplo, en mayo, la Fundación Wikimedia emitió una alerta sobre una extensión de Google Chrome que REPLACEaba anuncios deshonestos en las páginas de Wikipedia.

En julio, Google dejó de permitir la instalación de extensiones de Chrome desde sitios web de terceros, restringiendo solo las instalaciones en línea a las extensiones que se encuentran en Chrome Web Store oficial.

Esto dificultó que los atacantes distribuyeran extensiones maliciosas, pero no impidió que el malware instalara extensiones de Chrome deshonestas en un sistema ya comprometido utilizando los métodos fuera de línea. Los próximos cambios de Chrome 25 apuntan a eso.

"Creo que es un buen paso en la dirección correcta, que es una experiencia de navegación más segura", dijo Zoltan Balazs, un investigador de seguridad de TI de Hungría, el lunes por correo electrónico. Balazs creó previamente extensiones maliciosas de prueba de concepto para Firefox, Chrome y Safari con el fin de demostrar cuán poderosas pueden ser esas herramientas en manos de los atacantes.

La investigación de Balazs, que se presentó en varias conferencias de seguridad este año, mostró cómo las extensiones de explorador malicioso controladas remotamente pueden modificar el contenido de las páginas web, tomar capturas de pantalla a través de la cámara web de la computadora, actuar como un proxy HTTP inverso en la red interna, descargar, cargar y ejecutar archivos, usarse para descifrar hash de contraseñas distribuidas y más.

A pesar de que los próximos cambios en Chrome 25 dificultarán la vida de los atacantes, una pieza de malware podría potencialmente reemplazar toda la instalación de Chrome por una de respaldo, dijo Balazs. Señaló la primera de las "10 leyes inmutables de seguridad" publicada por Microsoft, que dice: "Si un delincuente puede persuadirlo para que ejecute su programa en su computadora, ya no es su computadora".

En julio, cuando Google prohibió las instalaciones de extensión de Chrome desde sitios web de terceros, la compañía también dijo que comenzará a analizar todas las extensiones enumeradas en Chrome Web Store para determinar el comportamiento malicioso y eliminará las versiones ofensivas.

Cuidado con las estafas

Sin embargo, desde entonces se han encontrado extensiones maliciosas en Chrome Web Store, lo que sugiere que es posible eludir el mecanismo de revisión y revisión de extensiones de Google. El 30 de agosto, investigadores de Barracuda Networks advirtieron que los estafadores de Facebook lograron engañar a más de 90,000 usuarios para instalar varias extensiones maliciosas de Chrome alojadas en Chrome Web Store antes de que Google retirara las extensiones.

Una alerta del 20 de diciembre de Facecrooks, un grupo que supervisa las amenazas de Facebook, advirtió sobre una estafa que engañó a los usuarios para instalar una extensión de Chrome fraudulenta al afirmar que cambia el esquema de colores de su perfil de Facebook.

Según Balazs, el hecho de que los desarrolladores de extensiones maliciosas eviten Chrome Web Los sistemas de detección de malware de la tienda no son sorprendentes.

Es muy fácil ofuscar código JavaScript u ocultar funciones maliciosas dentro de otras funciones no maliciosas, o crear extensiones no maliciosas y agregar funciones maliciosas en una actualización, dijo Balazs. "Es el mismo juego del gato y el ratón que vemos entre los desarrolladores de malware y la industria antivirus".

"En este momento, Google es el estándar de seguridad en lo que respecta a la seguridad de la extensión del navegador", dijo Balazs. Sin embargo, un gran paso para Google sería deshabilitar la antigua arquitectura de plugins NPAPI (Netscape Plugin Programming Interface) en todas partes, ahora está deshabilitada en Chrome para Windows 8 Metro y Chromebook, y promover la arquitectura de Native Client más segura y de espacio aislado. él dijo.